2025年國(guó)家網(wǎng)絡(luò)安全知識(shí)競(jìng)賽試卷附答案一、單項(xiàng)選擇題（共20題，每題2分，共40分）1.以下哪種行為最可能導(dǎo)致個(gè)人信息泄露？A.使用公共WiFi時(shí)僅訪問HTTPS網(wǎng)站B.在正規(guī)電商平臺(tái)填寫收貨地址C.點(diǎn)擊陌生郵件中的“中獎(jiǎng)鏈接”D.定期更新手機(jī)系統(tǒng)安全補(bǔ)丁答案：C2.根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)，確需向境外提供的，應(yīng)當(dāng)通過（）組織的安全評(píng)估。A.國(guó)家網(wǎng)信部門B.省級(jí)通信管理部門C.行業(yè)主管部門D.第三方檢測(cè)機(jī)構(gòu)答案：A3.某企業(yè)發(fā)現(xiàn)其用戶數(shù)據(jù)庫被惡意下載，導(dǎo)致50萬條用戶信息泄露。根據(jù)《個(gè)人信息保護(hù)法》，該企業(yè)應(yīng)在（）內(nèi)向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)告。A.24小時(shí)B.48小時(shí)C.72小時(shí)D.7個(gè)工作日答案：A4.以下哪項(xiàng)不是勒索軟件的典型特征？A.加密用戶文件并索要贖金B(yǎng).通過釣魚郵件或漏洞攻擊傳播C.破壞硬件設(shè)備（如主板）D.利用弱密碼遠(yuǎn)程登錄滲透答案：C5.關(guān)于“零信任架構(gòu)”，以下描述錯(cuò)誤的是（）。A.默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外的任何用戶、設(shè)備和系統(tǒng)B.所有訪問需經(jīng)過身份驗(yàn)證和授權(quán)C.僅對(duì)外部網(wǎng)絡(luò)流量進(jìn)行嚴(yán)格檢查，內(nèi)部流量無需驗(yàn)證D.持續(xù)評(píng)估訪問請(qǐng)求的風(fēng)險(xiǎn)答案：C6.王某收到一條短信：“您的銀行卡因異常交易被凍結(jié)，點(diǎn)擊鏈接重置密碼”。該鏈接最可能是（）。A.銀行官方網(wǎng)站的安全鏈接B.釣魚網(wǎng)站，用于竊取賬號(hào)密碼C.銀行升級(jí)后的新服務(wù)入口D.第三方支付平臺(tái)的合作鏈接答案：B7.以下哪種加密算法屬于非對(duì)稱加密（公鑰加密）？A.AES256B.SHA256C.RSAD.DES答案：C8.某公司服務(wù)器遭受DDoS攻擊，導(dǎo)致網(wǎng)站無法訪問。以下應(yīng)對(duì)措施中，最有效的是（）。A.關(guān)閉服務(wù)器電源重啟B.聯(lián)系云服務(wù)商啟用流量清洗服務(wù)C.增加服務(wù)器內(nèi)存和CPUD.修改服務(wù)器登錄密碼答案：B9.根據(jù)《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行的義務(wù)不包括（）。A.制定內(nèi)部安全管理制度和操作規(guī)程B.采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施C.為用戶提供免費(fèi)的網(wǎng)絡(luò)安全培訓(xùn)D.監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)和網(wǎng)絡(luò)安全事件答案：C10.以下哪類設(shè)備不屬于物聯(lián)網(wǎng)（IoT）安全防護(hù)的重點(diǎn)？A.智能攝像頭B.工業(yè)PLC控制器C.家用路由器D.傳統(tǒng)固定電話答案：D11.李某在社交平臺(tái)發(fā)布了一張包含家庭住址的快遞面單照片（已模糊姓名和電話），但未模糊單號(hào)?？赡苄孤兜男畔⑹牵ǎ.快遞運(yùn)輸路線B.家庭具體門牌號(hào)C.寄件人身份證號(hào)D.收件人銀行賬戶答案：A12.以下哪項(xiàng)是防范SQL注入攻擊的有效措施？A.使用動(dòng)態(tài)拼接SQL語句B.對(duì)用戶輸入進(jìn)行嚴(yán)格的參數(shù)化處理C.關(guān)閉數(shù)據(jù)庫錯(cuò)誤提示D.增加數(shù)據(jù)庫服務(wù)器帶寬答案：B13.某單位員工使用個(gè)人手機(jī)連接單位WiFi并訪問內(nèi)部系統(tǒng)，這種行為存在的主要風(fēng)險(xiǎn)是（）。A.手機(jī)可能感染惡意軟件，成為攻擊內(nèi)網(wǎng)的跳板B.消耗單位網(wǎng)絡(luò)帶寬C.影響手機(jī)電池壽命D.導(dǎo)致手機(jī)系統(tǒng)卡頓答案：A14.2024年，某國(guó)通過立法要求科技公司必須為執(zhí)法機(jī)構(gòu)提供“后門”以獲取用戶數(shù)據(jù)。這種做法違反了網(wǎng)絡(luò)安全的（）原則。A.最小必要B.公開透明C.完整性D.不可抵賴性答案：A15.以下哪項(xiàng)不是生物識(shí)別信息的特點(diǎn)？A.唯一性（如指紋、人臉）B.不可更改性（丟失后無法“重置”）C.可復(fù)制性（可能被偽造）D.與賬號(hào)密碼綁定后絕對(duì)安全答案：D16.某企業(yè)使用云服務(wù)存儲(chǔ)客戶數(shù)據(jù)，若云服務(wù)商發(fā)生數(shù)據(jù)泄露，責(zé)任劃分的關(guān)鍵依據(jù)是（）。A.云服務(wù)合同中的“數(shù)據(jù)安全責(zé)任條款”B.客戶數(shù)據(jù)量的大小C.云服務(wù)商的市場(chǎng)份額D.客戶是否購(gòu)買了額外保險(xiǎn)答案：A17.以下哪種行為符合“最小必要原則”？A.電商平臺(tái)收集用戶姓名、電話、地址用于配送B.社交軟件要求用戶提供身份證號(hào)才能注冊(cè)C.健身APP獲取用戶手機(jī)通訊錄權(quán)限D(zhuǎn).銀行APP要求讀取用戶短信內(nèi)容答案：A18.關(guān)于“釣魚攻擊”，以下說法錯(cuò)誤的是（）。A.攻擊者可能偽裝成銀行、快遞等可信機(jī)構(gòu)B.僅通過短信或郵件傳播，不會(huì)通過即時(shí)通訊工具（如微信）C.目標(biāo)是誘導(dǎo)用戶泄露敏感信息或點(diǎn)擊惡意鏈接D.可能結(jié)合社會(huì)工程學(xué)（如制造緊急事件）提高成功率答案：B19.某高校圖書館WiFi未設(shè)置密碼，用戶連接后訪問校園網(wǎng)時(shí)，可能面臨的風(fēng)險(xiǎn)是（）。A.被中間人攻擊（MITM）竊取傳輸數(shù)據(jù)B.自動(dòng)登錄圖書館賬號(hào)C.網(wǎng)絡(luò)速度變慢D.設(shè)備被強(qiáng)制安裝圖書館APP答案：A20.以下哪項(xiàng)是量子密碼的核心優(yōu)勢(shì)？A.加密速度遠(yuǎn)超傳統(tǒng)算法B.基于數(shù)學(xué)難題（如大整數(shù)分解）保證安全C.利用量子力學(xué)原理實(shí)現(xiàn)“絕對(duì)安全”的密鑰分發(fā)D.無需密鑰即可傳輸信息答案：C二、判斷題（共10題，每題1分，共10分）1.所有公共WiFi都不安全，連接前必須使用VPN。（）答案：×（部分公共WiFi通過加密（如WPA2/WPA3）可保障基本安全，但仍需謹(jǐn)慎）2.定期修改密碼時(shí)，只需將舊密碼的最后一位數(shù)字遞增（如Pass123→Pass124）即可保證安全。（）答案：×（此類修改方式屬于“弱變更”，易被暴力破解）3.企業(yè)只需關(guān)注外部網(wǎng)絡(luò)攻擊，內(nèi)部員工誤操作不會(huì)導(dǎo)致數(shù)據(jù)泄露。（）答案：×（內(nèi)部人員誤操作或惡意行為是數(shù)據(jù)泄露的重要原因）4.《個(gè)人信息保護(hù)法》規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。（）答案：√5.手機(jī)安裝應(yīng)用時(shí)，拒絕所有權(quán)限申請(qǐng)（如位置、相機(jī)）會(huì)導(dǎo)致應(yīng)用無法使用，因此必須全部授權(quán)。（）答案：×（可根據(jù)需求選擇性授權(quán)，部分權(quán)限非必要）6.區(qū)塊鏈技術(shù)的“不可篡改”特性意味著鏈上數(shù)據(jù)絕對(duì)無法被修改。（）答案：×（需51%以上算力攻擊才可能篡改，但理論上存在風(fēng)險(xiǎn)）7.電子郵件的“已讀回執(zhí)”功能可以確保對(duì)方確實(shí)閱讀了郵件內(nèi)容。（）答案：×（可能被拒收或通過技術(shù)手段繞過）8.物聯(lián)網(wǎng)設(shè)備（如智能門鎖）出廠時(shí)默認(rèn)密碼無需修改，因?yàn)閺S商已做安全設(shè)計(jì)。（）答案：×（默認(rèn)密碼易被公開獲取，必須及時(shí)修改）9.網(wǎng)站顯示“HTTPS”標(biāo)識(shí)，說明該網(wǎng)站完全可信，不會(huì)存在釣魚風(fēng)險(xiǎn)。（）答案：×（HTTPS僅保證傳輸加密，無法驗(yàn)證網(wǎng)站內(nèi)容的真實(shí)性）10.企業(yè)使用開源軟件（如Linux系統(tǒng)）時(shí)，無需關(guān)注其漏洞，因?yàn)殚_源社區(qū)會(huì)自動(dòng)修復(fù)。（）答案：×（需主動(dòng)關(guān)注開源軟件的安全更新并及時(shí)補(bǔ)?。┤⑻羁疹}（共10題，每題2分，共20分）1.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》自（）年6月1日起施行。答案：20172.常見的DDoS攻擊類型包括（）攻擊（利用大量請(qǐng)求消耗服務(wù)器資源）和流量型攻擊（利用海量數(shù)據(jù)包阻塞網(wǎng)絡(luò)）。答案：連接型（或“應(yīng)用層”）3.密碼學(xué)中，“凱撒密碼”屬于（）加密算法（填“對(duì)稱”或“非對(duì)稱”）。答案：對(duì)稱4.個(gè)人信息“去標(biāo)識(shí)化”是指通過技術(shù)手段將個(gè)人信息處理為（），使其無法識(shí)別特定自然人且不能復(fù)原的過程。答案：無法識(shí)別特定自然人5.釣魚郵件的典型特征包括：發(fā)件人地址異常（如仿冒域名）、（）（如“賬戶異常需立即驗(yàn)證”）、附件或鏈接含惡意代碼。答案：緊急或誘導(dǎo)性內(nèi)容6.網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中，信息系統(tǒng)的安全保護(hù)等級(jí)分為（）級(jí)。答案：五7.物聯(lián)網(wǎng)設(shè)備的安全威脅主要包括：弱密碼、（）（如未及時(shí)更新的固件漏洞）、非法訪問控制。答案：未修復(fù)的固件漏洞8.數(shù)據(jù)安全治理的“三同步”原則是指數(shù)據(jù)安全與業(yè)務(wù)發(fā)展（）、同步實(shí)施、同步評(píng)估。答案：同步規(guī)劃9.移動(dòng)應(yīng)用（APP）收集用戶信息時(shí)，應(yīng)當(dāng)在（）中明確告知收集的目的、方式、范圍，且不得超出用戶授權(quán)范圍。答案：隱私政策10.量子計(jì)算對(duì)傳統(tǒng)密碼學(xué)的主要威脅是能夠快速破解基于（）的加密算法（如RSA）。答案：大整數(shù)分解或離散對(duì)數(shù)問題四、簡(jiǎn)答題（共4題，每題5分，共20分）1.簡(jiǎn)述“最小必要原則”在個(gè)人信息保護(hù)中的具體要求。答案：個(gè)人信息處理者在收集、使用個(gè)人信息時(shí)，應(yīng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集；處理方式應(yīng)是實(shí)現(xiàn)目的的必要手段，避免冗余操作；收集的信息類型、數(shù)量應(yīng)與處理目的直接相關(guān)，非必要信息不得收集。2.列舉三種防范勒索軟件的主要措施。答案：①定期備份重要數(shù)據(jù)（離線存儲(chǔ)，避免被加密）；②及時(shí)更新系統(tǒng)和軟件補(bǔ)丁（修復(fù)漏洞）；③加強(qiáng)員工安全培訓(xùn)（不點(diǎn)擊陌生鏈接、不打開可疑附件）；④部署終端安全防護(hù)軟件（如EDR）；⑤關(guān)閉不必要的端口和服務(wù)（減少攻擊面）。（答出任意三點(diǎn)即可）3.說明“零信任網(wǎng)絡(luò)”與傳統(tǒng)網(wǎng)絡(luò)安全模型的核心區(qū)別。答案：傳統(tǒng)模型基于“邊界防御”，默認(rèn)信任內(nèi)網(wǎng)用戶和設(shè)備，僅對(duì)外部流量嚴(yán)格檢查；零信任模型則“永不信任，始終驗(yàn)證”，無論用戶或設(shè)備位于內(nèi)網(wǎng)還是外網(wǎng)，所有訪問請(qǐng)求都需經(jīng)過身份驗(yàn)證、授權(quán)和持續(xù)風(fēng)險(xiǎn)評(píng)估，動(dòng)態(tài)調(diào)整訪問權(quán)限。4.某企業(yè)發(fā)現(xiàn)員工通過個(gè)人U盤將公司機(jī)密文件拷貝至家中，導(dǎo)致泄露。請(qǐng)從技術(shù)和管理兩方面提出改進(jìn)措施。答案：技術(shù)措施：①部署終端安全管理系統(tǒng)（如文件加密、U盤白名單）；②監(jiān)控終端外發(fā)行為（如禁止未經(jīng)授權(quán)的USB存儲(chǔ)設(shè)備連接）；③對(duì)機(jī)密文件實(shí)施訪問控制（如最小權(quán)限原則）。管理措施：①制定數(shù)據(jù)安全管理制度（明確外發(fā)文件審批流程）；②開展員工安全培訓(xùn)（強(qiáng)調(diào)數(shù)據(jù)泄露的法律后果）；③簽訂保密協(xié)議（明確責(zé)任追究機(jī)制）。五、案例分析題（共1題，10分）【案例背景】2024年12月，某醫(yī)療科技公司“健康云”平臺(tái)發(fā)生數(shù)據(jù)泄露事件。經(jīng)調(diào)查，攻擊者通過爆破攻擊破解了平臺(tái)運(yùn)維人員的弱密碼（123456），登錄后臺(tái)后下載了包含10萬條患者的姓名、身份證號(hào)、診斷記錄的數(shù)據(jù)庫。事件導(dǎo)致部分患者收到詐騙電話，聲稱“可代辦醫(yī)療報(bào)銷”，要求提供銀行卡信息。問題：（1）分析此次數(shù)據(jù)泄露事件的直接原因和間接原因。（5分）（2）提出防止類似事件再次發(fā)生的具體措施。（5分）答案：（1）直接原因：運(yùn)維人員使用弱密碼（123456），被攻擊者通過爆破攻擊破解；平臺(tái)未限制密碼嘗試次數(shù)（未設(shè)置登錄失敗鎖定機(jī)制）。間接原因：企業(yè)安全管理缺失（未強(qiáng)制要求復(fù)雜密碼策略）、員工安全意